[发明专利]提供安全的计算机环境的系统和方法

说明书

相关申请的交叉引用

本申请要求下述优先权，每个优先权的全部内容通过引用合并于此：(1)2012年8月18日提交的美国临时专利申请序列号61/684,743；(2)2012年8月18日提交的美国临时专利申请序列号61/684,744；(3)2012年8月18日提交的美国临时专利申请序列号61/684,745；以及(4)2012年8月18日提交的美国临时专利申请序列号61/684,746。

另外，本申请涉及下述的同日提交的共同悬而未决的美国实用专利申请，每个申请的全部内容通过引用合并于此：(1)标题为“在软件构件中限制可利用或潜在可利用的子构件的系统和方法”的美国专利申请序列号13/969,158[代理人案号026409-0424092]；(2)标题为“将软件构件替换为相应的已知良好的软件构件而不考虑所述软件构件是否已经被泄密或可能已经被泄密的系统和方法”的美国专利申请序列号13/969,181[代理人案号026409-0424094]；(3)标题为“将信息交叉在数据包的片中，微分加密片并数据包内的信息混淆的系统和方法”的美国专利申请序列号13/969,216[代理人案号026409-0424095]。

技术领域

本申请涉及通过限制软件构件内的可利用或潜在可利用的子构件、将软件构件替换为相应的已知良好的软件构件而不考虑所述软件构件是否已经被泄密或可能已经被泄密、将待传送的不同信息结合到数据包的不同片以及利用不同的加密方案对片进行加密、处理具有数据片的数据包，所述数据片与利用不同的加密方案进行加密的不同信息相关、利用具有标头的数据包保密信息，所述标头起始于数据包内与其他数据包不同的位置、处理具有标头的数据包，所述标头起始于数据包内与其他数据包不同的位置、或利用其他方法来保密和维护构件和/或信息的完整性。

背景技术

随着世界越来越科技发达并依赖与计算机系统，计算机网络攻击的复杂性和强度越来越高。这些攻击包含利用漏洞攻击程序来窃取专有信息、传播恶意软件、干扰服务或引起其他问题。传统的防御方法，诸如防火墙、反恶意软件探测系统等，聚焦于识别和减轻这些威胁。但是，传统的防御方法忽视了一些潜在的问题，这些潜在的问题允许漏洞攻击程序或其他威胁的存在。例如，构件通常暴露在运行时环境中很长时间，并且提供对于操作来说可能不必要的管理访问和特权。另外，网络通常通过在运行时环境中维护构件所要求的连接而暴露。而且，在一些情况下，发现泄密构件可能是困难的，且当或如果最终发现了，可能已经造成大范围的损伤或负面影响。

发明内容

本发明解决了这些和其他缺陷，且涉及用于保密和维护构件和/或信息的完整性的方法、装置和/或系统。例如，系统可以通过限制软件构件内的可利用或潜在可利用的子构件、将软件构件替换为相应的已知良好的软件构件而不考虑所述软件构件是否已经被泄密或可能已经被泄密、将待传送的不同信息结合到数据包的不同片以及利用不同的加密方案对片进行加密、处理具有数据片的数据包，所述数据片与利用不同的加密方案进行加密的不同信息相关、利用具有标头的数据包保密信息，所述标头起始于数据包内与其他数据包不同的位置、和/或处理具有标头的数据包，所述标头起始于数据包内与其他数据包不同的位置来促进构件和/或信息的保密性和完整性。

正如所讨论的，软件构件通常暴露在运行时环境中很长时间，并且提供对于操作来说可能不必要的管理访问和特权。例如，这样的访问或特权可能通过恶意软件或其他威胁被利用来泄密提供管理访问/特权的软件构件或其他软件构件。当传统的防御方法通常聚焦于发现已经被泄密的软件构件和减轻与泄密软件构件有关的负面影响时，本系统可以提供附加的或可选的保护措施促进可能暴露于网络或其他可进入环境的构件的保密和完整性，和/或促进通过网络传送的来自或到达系统构件的信息的保密性。附加的或可选的保护措施可以单独使用或与其他保护措施联合使用。

作为一个例子，本系统可以在软件构件被产生之后以及软件构件被放置在可能使软件构件泄密的环境中之前通过移除或禁用软件构件内的可利用或潜在可利用的子构件来消除或减小被泄密的软件构件以及相关的负面影响。